Mike Kasberg

08 Abr 2020

Quando se executa o instalador Ubuntu, há uma opção de dual-boot Ubuntu com instalação anexada do Windows. Há também uma opção para encriptar a sua instalação do Ubuntu, mas apenas se apagar tudo e instalar o ubuntu. Há uma forma noautomática de instalar o Ubuntu juntamente com o Windows 10 com encriptação. E embora existam muitos tutoriais para Ubuntu e Windows de duplo arranque, muitos deles estão desactualizados – referenciando frequentemente uma tabela de partições MBR – e quase nenhum deles parece abordar a encriptação da sua partição Ubuntu.

A inicialização manual com armazenamento encriptado não deve ser tão difícil em 2020.

-Me, enquanto descobre como fazer isto.

Na realidade, uma vez descoberto, não é assim tão difícil. O mais complicado é que isto não está bem documentado em lado nenhum! Por isso, espero corrigir isso com um post no blogue do thistutorial. Honestamente, se souberem o suficiente sobre o Ubuntu para configurar o adual-boot com o Windows, é apenas um pouco mais difícil fazê-lo com encriptação. Preparei este tutorial num Dell Latitude e7450, e aperfeiçoei-o quando o Itestou no meu Dell Precision 5510. Por isso, deve funcionar com quase nomodificação na maioria dos sistemas Dell, e apenas com pequenas modificações (particularmente em torno da configuração da BIOS) na maioria dos outros tipos de computadores.

Para escrever este guia, compilei informação de várias fontes. Aqui estão algumas das referências mais úteis que encontrei:

• XPS 15 9560 Dual-Boot with Encryption Notes,por luispabon. Segui estas notas de forma bastante fechada, mas modifiquei alguns tamanhos de partições e nomes baseados em outros guias.
• XPS 15 9570 Dual-Boot with Encryption Notes,por mdziekon, sobre o qual se baseia o acima mencionado.
• Full Disk Encryption HowTo 2019,do Ubuntu Community Wiki. Este é um grande recurso, mas trata de encriptação sem dupla inicialização.
• Encriptação Manual Completa do Sistema, do Ubuntu Community Wiki. Este método é mais longo, e não se concentra na dual-booting, mas fornece grandes detalhes sobre a forma como certas coisas funcionam.

Vale a pena notar que este método não encripta /boot. Embora existam razões válidas para encriptar /boot, o instalador gráfico não encripta quando se faz uma instalação gráfica com LUKS. Como tal, estou a corresponder a esse precedente, e a manter a simplicidade de uma partição /boot não encriptada. Assim, o guia que compilei abaixo é praticamente a forma mais simples de ter uma encriptação LUKS com dual-boot.

Porquê a encriptação é importante

Comecei a utilizar armazenamento encriptado em todos os meus computadores pessoais há 5 ou 6 anos atrás, depois de ter reparado que todas as empresas para as quais tinha trabalhado o requeriam, e tinha bom senso para isso. Os computadores portáteis perdem-se e são roubados a toda a hora. São artigos de alto valor – pequenos e fáceis de transportar. E quando um ladrão recebe o seu portátil, há pedras de informação valiosa sobre ele que podem usar ou vender. Mesmo que utilize palavras-passe para iniciar sessão, é fácil para um atacante obter acesso aos seus dados se o seu disco não estiver encriptado – por exemplo, utilizando um stick USB vivo. E se tiverem esses dados, poderão ter acesso a contas online, extractos bancários, e-mails, e toneladas de outros dados. Para mim, um disco rígido encriptado não é mais opcional – é uma necessidade.

An Overview

Então o que vamos fazer? Este tutorial vai ajudá-lo a configurar um sistema todual-boot Ubuntu 20.04 e Windows 10. (Não o testei, mas deve funcionar com a maioria das outras versões modernas (~16.04+) do Ubuntu ou Windows). O sistema utilizará um disco rígido GPT com UEFI (a sua BIOS deve suportar UEFI). A partição Ubuntu será encriptada com LUKS.1 A partição Windows pode opcionalmente ser encriptada com BitLocker. Vou manter a instalação do Ubuntu o mais próximo possível de uma instalação “por defeito” – sem truques de fantasia como uma partição separada/home, mas deve ser algo fácil de adicionar se quiser.

Vou começar com um disco rígido em branco, instalando tanto o Windows 10 como o Ubuntuf do zero. Se já tiver o Windows instalado e quiser mantê-lo, deverá ser capaz de encolher a sua partição do Windows em vez de apagar o seu disco rígido no final da fase 1, e saltar completamente a fase 2 (instalar o Windows).

para lhe dar uma visão geral de para onde nos dirigimos, eis o que vamos fazer:

1. Preparar o suporte de instalação e o computador
2. Instalar Windows 10
3. Criar uma partição encriptada para Ubuntu
4. Instalar Ubuntu

Obviamente, como em qualquer nova instalação de SO, deverá fazer uma cópia de segurança de quaisquer dados importantes antes de prosseguir. As instruções abaixo irão apagar todos os dados no seu disco rígido. Proceda por sua conta e risco; não sou responsável por qualquer perda de ordenados de danos.

Fase 1: Prepare o suporte de instalação e o computador

Desde que estamos a instalar tanto o Windows 10 como o Ubuntu a partir do zero, precisaremos de um stick USB para cada um. Se ainda não tiver um computador a correr o Ubuntu ou o Windows, tornar o suporte de instalação será um pouco mais difícil – mas há tutoriais para isso e eu deixo-o descobrir sozinho.

1. Criar um stick USB do Windows Installer. A maneira mais fácil é usar a ferramenta de criação de media Windows10 do acomputador que já está a correr Windows.
2. Criar uma pen USB Ubuntu 20.04. A maneira mais fácil é descarregar oISO e usar o Startup Disk Creator no acomputador que já está a correr Ubuntu.

Great! Temos os nossos paus USB prontos a usar! Uma última coisa antes de começarmos – precisamos de ter a certeza de que a nossa BIOS está configurada correctamente. Em particular, queremos ter a certeza de que estamos a usar UEFI para arrancar o nosso OS.2

1. Certifique-se de que o seu computador está a executar a última BIOS disponível. Isto é importante porque uma BIOS desactualizada pode ter bugs, e esses bugs por vezes afectam coisas como UEFI, sistemas operativos não-Windows, ou outros componentes que iremos apostar.

li>Editar as definições da sua BIOS. Os seguintes nomes são provavelmente específicos da DellBIOS, mas outros fabricantes terão configurações semelhantes.

1. Abaixo General e Boot Sequence, certifique-se de que o seu BootList Option está definido para UEFI.
2. abaixo de General e Advanced Boot Options, I disabledLegacy Option ROMs. É importante que ambos os SOs se instalem em modo UEFI.(Provavelmente pode activar isto quando a instalação estiver completa, se se importar).
3. abaixo de SecurityTPM Security deve ser activado se quiser configurar facilmente o BitLocker no Windows.
4. I disabled Secure Boot. Não tenho a certeza se isto é absolutamente necessário, e pode tentar deixá-lo ligado ou reactivá-lo quando terminar, se quiser.

Agora que a nossa BIOS está configurada para UEFI, vamos configurar o nosso disco rígido.

1. Apagar completamente o seu disco rígido e configurá-lo para UEFI, fazendo o seguinte.3
   1. Boot o seu stick USB Ubuntu e use Try without installing.
   2. Abrir um terminal. Faça-o em ecrã inteiro enquanto estiver nele.

   li>Figure o nome do seu disco rígido primário. Provavelmente será /dev/sda ou /dev/nvme0n1. Importante, não é /dev/sda1 ou/dev/nvme0n1p1 – essas são partições do disco. Uma maneira de descobrir como se chama o seu disco é correr lsblk e olhar para o tamanho do disco. No resto deste guia, vou referir-me a /dev/sda. Se o seu não for/dev/sda, substitua /dev/sda pelo seu próprio (talvez /dev/sdb ou/dev/nvme0n1) para o resto deste guia.

2. Executar os seguintes comandos. Isto inicializará a unidade como uma unidade GPT e criará uma partição do sistema EFI 550M formatada como FAT32.

   $ sudo su# sgdisk --zap-all /dev/sda# sgdisk --new=1:0:+550M /dev/sda# sgdisk --change-name=1:EFI /dev/sda# sgdisk --typecode=1:ef00 /dev/sda# mkfs.fat -F 32 /dev/sda1

OK, a fase 1 está completa. Temos os nossos meios de instalação prontos a utilizar e a BIOS e o disco rígido do computador estão correctamente configurados. A seguir, vamos instalar o Windows.

Fase 2: Instalar Windows

Nesta fase, vamos instalar o Windows. Note que quando fizermos isto, vamos deixar algum espaço não atribuído para instalar mais tarde o Linux. Esta é uma boa abordagem porque o instalador do Windows vai mexer um pouco com as nossas partições, e é mais fácil deixá-lo fazer isso antes de finalizar as nossas partições Linux.

1. Boot from your Windows Installer USB stick.
2. Escolha uma Custom (advanced) instalar para chegar à ferramenta de particionamento do Windows.
3. Criar uma nova partição. O tamanho desta partição deve ser a quantidade de espaço do disco que pretende utilizar para o Windows. Neste exemplo, fiz 80G uma vez que a SSDon do meu computador é relativamente pequena. Se não tiver a certeza, faça cerca de metade do seu disco rígido.

li>Windows irá avisá-lo de que vai criar uma partição extra do sistema.Isto é bom.4 li>Instale o Windows na partição que acabou de fazer. Não há necessidade de formatar qualquer partição – o instalador do Windows tratará disso para si.

4. Quando a instalação do Windows estiver terminada, inicie sessão e active o BitLocker ondrive C:. Isto irá criar automaticamente mais uma partição no seu disco (uma partição de recuperação do Windows) – e é por isso que o estamos a fazer antes de particionar para Ubuntu.

Neste ponto, pode começar a utilizar o Windows. Mas eu evitaria ainda fazer demasiada configuração ou personalização para que não tenha de o fazer novamente se algo correr mal a seguir. Se quiser verificar duas vezes as suas partições, é com isto que ficará após instalar o Windows e activar o BitLocker:

ubuntu@ubuntu:~$ sudo sgdisk --print /dev/sdaDisk /dev/sda: 500118192 sectors, 238.5 GiBNumber Start (sector) End (sector) Size Code Name 1 2048 1128447 550.0 MiB EF00 EFI 2 1128448 1161215 16.0 MiB 0C01 Microsoft reserved ... 3 1161216 167825076 79.5 GiB 0700 Basic data partition 4 167825408 168900607 525.0 MiB 2700

Fase 3: Particionar a unidade para Ubuntu

Esta é a fase mais complicada, uma vez que é aqui que precisamos de configurar manualmente os nossos discos encriptados para o Ubuntu. Vamos fazê-lo funcionar de forma muito semelhante à forma como o instalador do Ubuntu configuraria as coisas se encriptasse todo o seu disco.

Através desta secção, vou referir-me a sgdisk comandos. Pode usar gdisk se estiver confortável com ele e quiser uma interface interactiva, ou pode usar GParted se preferir. sgdisk os comandos são mais fáceis de consultar num tutorial. E mais uma vez, vou referir-me a /dev/sda, mas há uma hipótese do seu poder ser nomeado algo como /dev/nvme0n1 – apenas continue a substituir o que quer que tenha usado.

Se quiser, pode executar sudo sgdisk --print /dev/sda para examinar a partição antes de avançar. Verá múltiplas partições criadas pelo Windowsinstaller, e deverá ver algum espaço vazio onde estamos prestes a instalar o Ubuntu.

Agora, vamos encriptar a nossa partição de dados Linux.

Agora, todas as nossas partições estão preparadas. Não parem aqui! Continue para a fase seguinte sem sair do ambiente Ubuntu live.

Fase 4: Instale o Ubuntu

1. Executar o instalador Ubuntu a partir do Ambiente de Trabalho, e escolha Something elsetoconfigure você mesmo as partições.
   1. Utiliza a nossa partição ~768M como ext4 com ponto de montagem /boot
   2. Use /dev/mapper/ubuntu--vg-root as ext4 com ponto de montagem /
   3. Use /dev/mapper/ubuntu--vg-swap_1 como swap
   4. O dispositivo de bootloader deve ser /dev/sda (embora pareça que esta configuração pode não ser realmente utilizada no modo UEFI)
2. Quando o instalador estiver terminado, hit Continue Testing. Temos de fazer mais coisas antes de recomeçarmos.

li>Set up etc/crypttab. Isto é o que lhe permitirá desbloquear o seu disco encriptado digitando a sua frase-chave ao arrancar.

1. Li>Localize o UUID da partição que configurou com LUKS: sudo blkid /dev/sda6

2. P>Entre numa chroot no sistema recentemente instalado:

   # mount /dev/mapper/ubuntu--vg-root /target# mount /dev/sda5 /target/boot# for n in proc sys dev etc/resolv.conf; do mount --rbind /$n /target/$n; done # chroot /target # mount -a

3. Dentro do seu chroot (ou seja, no mesmo terminal), configure /etc/crypttab.Use o seu editor favorito para editar este ficheiro. Vou usar o vi. sudo vi /etc/crypttabGuardar o seguinte conteúdo de ficheiro, substituindo o UUID pelo UUID real que encontrou acima.

   # <target name> <source device> <key file> <options># options used:# luks - specifies that this is a LUKS encrypted device# tries=0 - allows to re-enter password unlimited number of times# discard - allows SSD TRIM command, WARNING: potential security risk (more: "man crypttab")# loud - display all warningssda6_crypt UUID=abcdefgh-1234-5678-9012-abcdefghijklm none luks,discard

Executar o seguinte para aplicar as alterações que acabou de fazer. (Ainda no chroot.)

Done! Parabéns, criou um sistema de duplo boot com Ubuntu 20.04 eWindows 10 com todos os seus dados encriptados! Agora que ambas as instalações estão concluídas, pode reiniciar o seu computador.

Por defeito, o seu computador irá arrancar no grub, que pode arrancar no Ubuntu. Embora o Windows esteja listado no grub, arrancar o Windows a partir do grub com BitLocker enabledwon não funciona porque o TPM do sistema detectará uma alteração na sequência de arranque. Para evitar este problema, deve arrancar o Windows directamente do menu de arranque do seu computador – normalmente acessível premindo F12 ao arrancar.

Como referência, aqui está o estado final do meu disco rígido (com 2 volumes lógicos na partição rootfs para / e swap):

$ sudo sgdisk --print /dev/sdaDisk /dev/sda: 500118192 sectors, 238.5 GiB Number Start (sector) End (sector) Size Code Name 1 2048 1128447 550.0 MiB EF00 EFI 2 1128448 1161215 16.0 MiB 0C01 Microsoft reserved ... 3 1161216 167825076 79.5 GiB 0700 Basic data partition 4 167825408 168900607 525.0 MiB 2700 5 168900608 170473471 768.0 MiB 8301 /boot 6 170473472 500118158 157.2 GiB 8301 rootfs

Espero que tenha achado este guia útil, e espero que a encriptação de disco completo com Ubuntubecore mais popular e melhor suportada como resultado!